Nell'era digitale odierna, le minacce cibernetiche rappresentano una sfida sempre più preoccupante per nazioni, organizzazioni e individui. L'Italia non fa eccezione, trovandosi nel mirino dei cyber criminali con una crescita allarmante degli attacchi informatici. Secondo l'ultimo rapporto Clusit, nel 2023 sono stati analizzati 2.779 incidenti gravi a livello globale, l'11% dei quali ha colpito l'Italia, con un aumento del 65% rispetto all'anno precedente. Questa situazione di emergenza ha reso imperativo per il legislatore italiano adottare misure concrete per migliorare la resilienza cibernetica del Paese.

Contesto e motivazioni della legge

La legge sulla cyber sicurezza, entrata in vigore il 17 luglio 2024, nasce dalla necessità di affrontare l'ascesa preoccupante degli attacchi informatici, favorita dall'imperante digitalizzazione e dalla scarsa preparazione di molti enti nel far fronte a tali minacce. Dati allarmanti evidenziano che nell'81% dei casi la gravità degli attacchi è elevata o critica, mentre in Italia si è verificato il 47% degli attacchi totali censiti dal 2019. Questa situazione ha reso imprescindibile l'adozione di una normativa specifica per rafforzare i meccanismi di protezione contro le minacce cibernetiche.

Obblighi di segnalazione e notifica degli incidenti cyber

Il Capo I della legge introduce disposizioni fondamentali per il rafforzamento della cybersicurezza nazionale, tra cui l'obbligo di segnalazione e notifica degli incidenti cyber aventi impatto su reti, sistemi informativi e servizi informatici. Questo obbligo si applica a una vasta gamma di enti pubblici, tra cui pubbliche amministrazioni centrali, regioni, città metropolitane, comuni di grandi dimensioni, società di trasporto pubblico e aziende sanitarie locali.

I termini per la segnalazione e la notifica completa degli incidenti sono rispettivamente di 24 e 72 ore dalla conoscenza dell'evento. Per determinati soggetti, come comuni di grandi dimensioni e società di trasporto pubblico, questi obblighi si applicano a partire dal 180° giorno successivo all'entrata in vigore della legge. In caso di reiterata inosservanza, l'Agenzia per la Cybersicurezza Nazionale (ACN) può applicare sanzioni amministrative pecuniarie da 25.000 a 125.000 euro.

Allineamento con la Direttiva NIS 2

Le tempistiche per la segnalazione e la notifica degli incidenti cyber sono allineate con quelle previste dalla Direttiva NIS 2 dell'Unione Europea, che richiede un preallarme entro 24 ore e una notifica completa entro 72 ore dalla conoscenza di un incidente significativo. Questo coordinamento normativo mira a garantire un livello comune elevato di cibersicurezza nell'Unione.

Modifiche al Perimetro di Sicurezza Nazionale Cibernetica

La legge apporta inoltre modifiche alle disposizioni sul Perimetro di Sicurezza Nazionale Cibernetica (PSNC), stabilendo che gli incidenti con impatto su reti, sistemi informativi e servizi informatici diversi da quelli comunicati nell'elenco dei beni ICT debbano essere segnalati entro 24 ore e notificati entro 72 ore dalla conoscenza dell'evento. Anche in questo caso, la reiterata inosservanza di questi termini comporta sanzioni amministrative pecuniarie da 25.000 a 125.000 euro.

Il referente della cyber sicurezza nella Pubblica Amministrazione

Un aspetto cruciale della legge riguarda l'istituzione di una struttura dedicata alla cyber sicurezza presso gli enti pubblici interessati. Questa struttura è responsabile dello sviluppo di politiche e procedure di sicurezza delle informazioni, dell'analisi preventiva dei rischi, della gestione degli incidenti e dell'adozione delle misure previste dalle linee guida dell'ACN.

Presso queste strutture opererà un referente per la cyber sicurezza, individuato in base a specifiche competenze professionali nel campo della cybersicurezza. Il nominativo di questo referente dovrà essere comunicato all'ACN. Inoltre, le strutture verificheranno che i programmi e le applicazioni informatiche rispettino le linee guida sulla crittografia e sulla conservazione delle password adottate dall'ACN e dal Garante per la protezione dei dati personali.

Il ruolo dell'Agenzia per la Cybersicurezza Nazionale

L'articolo 10 della legge rafforza il ruolo dell'ACN, attribuendole la responsabilità di sviluppare e diffondere standard, linee guida e raccomandazioni per migliorare la cybersicurezza dei sistemi informatici. L'Agenzia valuterà anche la sicurezza dei sistemi crittografici e promuoverà l'utilizzo della crittografia, inclusa la tecnologia blockchain, come strumento di cybersicurezza.

Per rafforzare l'autonomia industriale e tecnologica italiana, l'ACN promuoverà la collaborazione con centri universitari e di ricerca per lo sviluppo di nuovi algoritmi proprietari e capacità crittografiche nazionali, nonché la collaborazione internazionale con organismi esteri che svolgono funzioni analoghe.

A tal fine, è istituito presso l'ACN il Centro Nazionale di Crittografia, il cui funzionamento sarà disciplinato da un provvedimento del direttore generale dell'Agenzia.

Disciplina dei contratti pubblici di beni e servizi ICT

La legge prevede che un decreto del Presidente del Consiglio dei Ministri, da adottare entro 120 giorni dall'entrata in vigore della legge, individui gli elementi essenziali di cybersicurezza da considerare nell'approvvigionamento di beni e servizi informatici impiegati in contesti connessi alla tutela degli interessi nazionali strategici.

Tali elementi dovranno essere considerati dalle pubbliche amministrazioni, dai gestori di servizi pubblici, dalle società a controllo pubblico e dai soggetti privati rientranti nel Perimetro di Sicurezza Nazionale Cibernetica. Saranno previsti criteri di premialità per le proposte o le offerte che contemplino l'uso di tecnologie di cyber sicurezza italiane, dell'Unione Europea, dei Paesi NATO o di Paesi terzi con accordi di collaborazione con l'UE o la NATO.

Prevenzione e contrasto dei reati informatici

Il Capo II della legge introduce disposizioni per la prevenzione e il contrasto dei reati informatici, nonché per il coordinamento degli interventi in caso di attacchi a sistemi informatici o telematici. Vengono apportate modifiche al codice di procedura penale e al codice penale, con un inasprimento delle sanzioni previste per i reati informatici.

Ad esempio, l'articolo 20 aumenta le sanzioni per le violazioni dell'articolo 24-bis del decreto legislativo 8 giugno 2001 n. 231, portando la cornice edittale da una ricompresa tra 100 e 500 quote a una ricompresa tra 200 e 700 quote. Inoltre, introduce una sanzione pecuniaria da 300 a 800 quote per l'ente in relazione alla commissione del delitto di estorsione aggravata.

Collaborazione e coordinamento tra enti

La legge sulla cyber sicurezza promuove una stretta collaborazione e un coordinamento efficace tra diversi attori coinvolti nella gestione delle minacce cibernetiche. Ad esempio, l'ACN è tenuta a informare senza ritardo il Procuratore Nazionale Antimafia e Antiterrorismo in caso di attacchi ai sistemi informatici o telematici di cui all'articolo 371-bis del codice di procedura penale.

Inoltre, la legge prevede il coinvolgimento del Comitato Interministeriale per la Sicurezza della Repubblica nella definizione degli elementi essenziali di cybersicurezza per i contratti pubblici di beni e servizi ICT.

Sfide e adeguamento delle pubbliche amministrazioni

L'introduzione della legge sulla cyber sicurezza pone sfide significative per le pubbliche amministrazioni e gli altri soggetti interessati. Uno degli aspetti cruciali riguarda l'adozione di un apparato organizzativo efficiente per soddisfare i termini stringenti per la segnalazione e la notifica degli incidenti cyber.

Inoltre, le pubbliche amministrazioni dovranno adeguarsi alle nuove disposizioni relative alle strutture dedicate alla cyber sicurezza, all'individuazione del referente competente e all'adozione delle linee guida sulla crittografia e sulla conservazione delle password.

Conclusioni

La legge sulla cyber sicurezza rappresenta un passo fondamentale per rafforzare la resilienza informatica dell'Italia e affrontare le crescenti minacce cibernetiche. Essa introduce obblighi stringenti per la segnalazione e la notifica degli incidenti, rafforza il ruolo dell'Agenzia per la Cybersicurezza Nazionale e promuove la collaborazione tra enti pubblici e privati.

Tuttavia, l'efficacia di questa legge dipenderà in gran parte dall'adeguamento tempestivo e dall'impegno di tutti gli attori coinvolti, dalle pubbliche amministrazioni ai soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica. Solo attraverso uno sforzo congiunto e un'attuazione rigorosa delle disposizioni sarà possibile garantire un livello più elevato di sicurezza informatica e proteggere gli interessi nazionali strategici.

Vuoi saperne di più?